Copias de seguridad cifradas fuera del sitio: ¿dónde almacenar la clave de cifrado?

Además de las copias de seguridad regulares en el sitio (guardadas en una caja fuerte resistente al fuego), también enviamos cintas fuera del sitio una vez al mes, encriptadas con AES. Entonces, si nuestro sitio es vaporizado un día por un rayo de calor alienígena, al menos deberíamos tener una copia de seguridad reciente para recuperarnos.

Excepto que la clave de cifrado de 128 bits solo se almacena en el sitio. Entonces, en el caso de un verdadero desastre, en realidad nos quedaríamos con una copia de seguridad cifrada, y no hay forma de descifrarla .

Pregunta: ¿Cuál es la mejor política para almacenar la clave de cifrado fuera del sitio?

Cualquier método que elijamos necesita pasar una auditoría de seguridad, por lo que "guardar una copia en casa" no es adecuado, y "guardarlo con las cintas fuera del sitio" obviamente no cumple con el propósito de cifrarlos. Algunas opciones que estamos considerando incluyen:

• Una caja de seguridad en un banco
• Almacenado en la nube o en una red geográficamente separada en forma protegida por contraseña (por ejemplo, utilizando software como Keepass o Password Safe)

Por supuesto, la segunda opción plantea otra pregunta: ¿cómo mantenemos segura esa contraseña?

Esto va a ser terriblemente subjetivo. Creo que necesitaríamos saber más sobre su industria y cualquier requisito regulatorio específico para dar buenos consejos. Lo que podría ser suficiente para una pequeña empresa en una industria no regulada probablemente no funcionará para una gran empresa en una industria regulada.

Mantener la llave en la caja de seguridad puede ser suficiente, dado que se supone que el banco autentica a las partes que tienen acceso a la caja (generalmente con una identificación con foto en una lista de partes autorizadas). También hay una clave física necesaria para abrir la caja. Cuando combina estos atributos con el cuadro que se almacena en una ubicación físicamente segura, me parece más un buen lugar para guardar la clave. Personalmente, me preocupa más que las cintas se pierdan o sean robadas cuando se mueven hacia o desde la caja de seguridad, y no se las roben de la caja de seguridad. Alternativamente, puede obtener una caja de seguridad en otro banco con diferentes partes autorizadas nombradas simplemente para almacenar el material clave.

Puede considerar que el abogado corporativo almacene la llave, suponiendo que no tenga abogados internos.

Para ser geek y técnico, hay varios algoritmos que le permiten dividir una clave secreta en varias piezas, de modo que la cooperación de un número requerido de partes es necesaria para reconstruir el secreto (conocido como esquemas de umbral). No tengo conocimiento inmediato de ninguna implementación práctica de ninguno de estos esquemas, pero apuesto a que hay algunos por ahí si buscas lo suficiente. Podrías distribuir material clave a múltiples partes de manera que una fracción de ellas, al reunirse, pudiera reconstruir la clave. El compromiso de cualquier pieza individual de la clave (o un número menor de piezas que el umbral requiere) no daría como resultado un compromiso de la clave.

Editar:

Apareció una búsqueda rápida de sharesecret , una implementación de esquema de umbral de GPL.

Una solución bastante obvia es mantener una copia de la clave en una ubicación diferente fuera del sitio. Por ejemplo, una caja de depósito bancario u otra empresa de almacenamiento fuera del sitio, completamente independiente.

Dependiendo de cuán rígidos sean sus requisitos, puede encontrar que dejar la llave a los directores, abogados o contadores de la compañía puede ser adecuado.

Una solución práctica:

Genere una clave ssh privada de 4096 bits en una unidad USB. luego cree un contenedor de archivos altamente encriptado usando truecrypt, y use la clave ssh como un 'archivo de claves', es decir, la unidad encriptada se desbloquea con el archivo de claves ssh. Monte el contenedor de archivos como una partición y cree un sistema de archivos en él (es decir, mkfs.ext4.) Monte la partición y escriba el archivo de contraseña que desea archivar. Desmonte todo y envíe su clave usb junto con sus cintas de archivo. El contenedor de archivos que ha creado puede colocarlo (con bastante seguridad) en una cuenta de Dropbox de operaciones, en un disquete (¿quién lo miraría seriamente?), Etc. Esencialmente, sin el archivo de claves, sería imposible acceder a la copia de seguridad , y el archivo de claves almacenado fuera del sitio es inútil sin la partición cifrada que almacena ... donde sea.

Esto puede sonar como una solución compleja, pero quizás lo guiará en la dirección correcta. Alternativamente, una unidad flash cifrada puede ser suficiente.

https://www.ironkey.com/

http://www.pcworld.com/article/254816/the_best_encrypted_flash_drives.html

Cualquiera sea la solución que elija, lo más importante es muy claro, las instrucciones actuales sobre qué hacer, por ejemplo, si fue atropellado por un autobús el mismo día que zombis alienígenas atacaron su oficina. Algo tan simple como un paquete "en caso de desastre" que acompaña a sus copias de seguridad debería ser suficiente.

Trabajo para una gran organización y tenemos un sistema similar para el cifrado de copias de seguridad de servidores de certificados. Tenemos un sistema interno propio y separado que asegura la frase clave de las claves que usamos, identificaciones compartidas, etc.

El sistema requiere 'verificar' la contraseña de la clave con nuestra identificación de usuario, un número de incidente, razón, etc. Cuando terminemos de usarla, tenemos que volver a ingresarla. Si no la volvemos a ingresar después de 24 horas, el sistema lo revisará automáticamente y enviará correos electrónicos a los administradores, etc., que no lo hayamos registrado.

Nadie más puede obtener la frase de contraseña, etc., mientras la tenemos desprotegida y hay un desafío / respuesta adicional cuando hacemos una verificación. El sistema está alojado en una ubicación completamente diferente.

Al ser una organización grande, valía la pena, pero puede haber productos que podrían hacer una actividad similar.

Wow cajas de seguridad, abogados y otros métodos intrincados en este hilo. Todo completamente innecesario.

La clave privada puede estar contenida básicamente en un pequeño archivo de texto, ¿verdad? Configure una cuenta SpiderOak y sincronice el archivo con la nube. Luego, en caso de que pierda todo su sitio debido a un incendio, recupere las cintas de almacenamiento de respaldo de su otra ubicación fuera del sitio, luego inicie sesión a través del sitio web SpiderOak y descargue el archivo de clave privada. Todo lo que necesita para iniciar sesión en el sitio web de SpiderOak es un nombre de usuario y contraseña. Entonces quizás usted y alguien más en la organización podrían recordar eso en su cabeza. Elige los nombres de tus dos películas favoritas o algo así. No es difícil de recordar.

SpiderOak es bueno porque solo necesita un nombre de usuario y contraseña para acceder a los datos. También está muy encriptado. También es más seguro que DropBox porque no almacenan las claves de cifrado / descifrado y no tienen conocimiento de cuáles son sus datos y no tienen capacidad para acceder a sus datos en su cuenta. Sin embargo, DropBox está abierto para que sus empleados o el gobierno de EE. UU. Puedan acceder a los datos con una orden judicial. Si fueras con DropBox, necesitarías poner la clave dentro de un archivo KeyPass y recordar la contraseña para acceder también.

Al final del día, aunque es un simple archivo de texto con una clave. En lo que respecta a cualquier otra persona que acceda a esa clave en SpiderOak o DropBox, no tienen absolutamente ninguna idea de para qué sirve la clave, o qué desbloquea, o incluso la ubicación de sus copias de seguridad físicas. Por lo tanto, es prácticamente inútil para ellos, incluso si lo consiguen.